PDO准备好的陈述有多安全?mysql
不久前开始使用PDO准备的语句,据我了解,它为您完成了所有转义/安全性工作。
例如,假设$ _POST ['title']是一个表单字段。
$title = $_POST['title']; $query = "insert into blog(userID, title) values (?, ?)" $st = $sql->prepare($query); $st->bindParam(1, $_SESSION['user']['userID'], PDO::PARAM_INT); $st->bindParam(2, $title); $st->execute(); 这真的安全吗?我还需要做其他事情吗?我还需要考虑什么?
谢谢。
写回答
-
严格来说,实际上不需要转义,因为参数值永远不会插值到查询字符串中。
查询参数的工作方式是在调用时将查询发送到数据库服务器prepare(),然后在调用时将参数值发送到数据库服务器execute()。因此,它们与查询的文本形式分开存放。SQL注入永远不会有机会(提供的PDO::ATTR_EMULATE_PREPARES是错误的)。
因此,可以,查询参数可以帮助您避免这种形式的安全漏洞。
他们是否100%证明没有任何安全漏洞?不,当然不。您可能知道,查询参数仅在SQL表达式中代替单个文字值。您不能用单个参数替代值列表,例如:
SELECT * FROM blog WHERE userid IN ( ? ); 您不能使用参数使表名或列名动态化:
SELECT * FROM blog ORDER BY ?; 您不能将参数用于任何其他类型的SQL语法:
SELECT EXTRACT( ? FROM datetime_column) AS variable_datetime_element FROM blog; 因此,在很多情况下,您必须在prepare()调用之前将查询作为字符串处理。在这些情况下,您仍然需要仔细编写代码以避免SQL注入。来源:stack overflow
2020-05-17 10:31:03赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关文章
相关电子书
更多
